阻止“IIS短文件名泄露”

原创 2015年07月09日 22:15:45

1.    简介:Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

2.    检测方法:http://www.xxxx.com/defaul*~1*/.aspx,将log换成你的文件名的前几位,如返回404则代表文件存在,如返回bad request则代表文件不存在,如有以上现象,则存在此漏洞。

3.    修复方法:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,重启服务器。

4.    注意:此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,可选择将网站文件删除,再重新上传即可解决此问题。升级.net framework v4.0无帮助。重新命名网站主目录无帮助。

5.    已存在的网站对后设置的会不起作用,解决方法是可以删除文件然后再把文件拷贝回来。

IIS短文件名漏洞简介

漏洞描述      windows下通过~表示短文件名,如:test~1, 在IIS中可通过短文件名的方式判断目标文件是否存在,从而降低文件名暴力猜解的难度      漏洞检查方式     ...
  • xing_anksh
  • xing_anksh
  • 2014年03月12日 16:52
  • 3550

IIS短文件名泄漏漏洞利用工具下载

  • 2014年03月05日 20:11
  • 26KB
  • 下载

网站安全性检测

1、任务描述         这个任务最初是由众友赛微的石文芳进行描述的:XX公司经过这几年的建设,在公司内部建立了以.net技术为基础的办公网络,办公网络可能在使用上最近考虑要在集团推广,会向公网...
  • axe6404
  • axe6404
  • 2017年12月25日 17:29
  • 10

使用nmap验证漏洞(持续更新中。。。)

nmap -p 80 –script http-iis-short-name-brute +ip(192.168.1.1)[验证iis短文件名泄露] nmap -sV -p 11211 -scrip...
  • hackerie
  • hackerie
  • 2017年09月22日 17:56
  • 184

IIS短文件名泄露漏洞

Windows Server 2003 and Windows XP  若要禁用 8.3 名称创建所有 NTFS 分区上的,键入 fsutil.exe behavior set disable 8 ...
  • lchyz89
  • lchyz89
  • 2013年02月21日 15:59
  • 1337

IIS短文件名泄露解决

  • 2013年03月18日 15:39
  • 65KB
  • 下载

安全漏洞的分类、描述与解决方案

安全测试,安全漏洞
  • xl_lx
  • xl_lx
  • 2015年07月24日 13:19
  • 4253

Web安全漏洞分类

1.1 Web安全漏洞分类 Web安全漏洞可以分为两类:一类包括平台的安全漏洞,另一类是应用自身的安全漏洞。 1.1.1    Web平台的安全漏洞 Web平台自身的安全漏洞——许多Web应用程...
  • pengben86
  • pengben86
  • 2012年10月15日 13:54
  • 1608

IIS短文件漏洞的介绍与相关利用

这个是最近爆出来的,而且没有补丁,只有临时解决方案,而微软临时解决方案的普及度可以说相当之低。用这个漏洞可以爆出web物理路径下全部的文件,虽然仅仅是8.3命名规则,但这也已经足够了。 如果扫出了RA...
  • u014270687
  • u014270687
  • 2015年05月17日 23:16
  • 729

iis短文件名漏洞

  • 2017年09月07日 16:19
  • 1KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:阻止“IIS短文件名泄露”
举报原因:
原因补充:

(最多只允许输入30个字)